La vida después de P=Rechazo

Los propietarios de dominios a menudo cometen el error de asumir que su viaje de autenticación de correo electrónico termina en la aplicación. Lo que no saben es que la vida después de p=reject es una fase importante que determina la fortaleza general de la postura de seguridad del correo electrónico de su dominio. Para una protección continua contra los ataques de suplantación de identidad y phishing, es imprescindible formular una estrategia de seguridad del correo electrónico que comience apenas después de lograr la aplicación.

¿Qué es P=Rechazo? 

La página web Política DMARC tiene 3 modos definitivos de aplicación que uno puede desplegar, son:

1. p=nada (no se ha realizado ninguna acción)
2. p=cuarentena (pone en cuarentena los correos electrónicos que no superan el DMARC) 
3. p=reject (rechaza los correos electrónicos en caso de DMARC falla)

Reject es la máxima política de aplicación de DMARC, y ayuda a los propietarios de dominios a bloquear los correos electrónicos falsos o de phishing antes de que lleguen a las bandejas de entrada de los clientes. Aquellos que deseen aprovechar DMARC para proteger sus dominios contra los vectores de ataque basados en el correo electrónico pueden encontrar que p=reject es un modo de política adecuado. 

¿Cómo llegar al modo P=Rechazo? 

En la mayoría de los casos, los propietarios de dominios intentan apresurarse en el proceso de despliegue de su protocolo y esperan conseguir el cumplimiento lo antes posible. Sin embargo, esto no es recomendable. Vamos a explicar por qué: 

Riesgos asociados a DMARC en el rechazo

• Pasar a la aplicación a un ritmo muy rápido puede provocar problemas de entregabilidad del correo electrónico 
• Puede provocar la pérdida de mensajes de correo electrónico legítimos 
• Puede dar lugar a fallos de DMARC para los correos electrónicos enviados fuera de su propio dominio 

¿Cuál es la práctica recomendada?

Aunque la política de rechazo viene con su propio conjunto de advertencias y descargos de responsabilidad, su eficacia en la prevención de una variedad de ataques de fraude por correo electrónico es innegable. Así que vamos a explorar ahora las formas de cambiar a rechazar de forma segura: 

• Empezar con p=ninguno

En lugar de empezar con una política impuesta, es muy recomendable empezar con algo que ofrezca más flexibilidad y libertad: y eso es exactamente lo que hace p=none. Esta política, aunque no hace mucho en términos de protección, puede servir como una excelente herramienta de monitoreo para ayudar en su viaje de implementación. 

• Habilitar los informes DMARC

La supervisión de sus canales de correo electrónico puede ayudarle a evitar fallos de entrega no deseados debidos a protocolos mal configurados. Puede permitirle visualizar y detectar errores, y solucionarlos más rápidamente. 

Los informes DMARC pueden ayudarle a identificar la eficacia de su política de autentificación del correo electrónico.

Aunque la autenticación del correo electrónico no es una bala de plata, puede ser una herramienta eficaz en su arsenal de seguridad. Con los informes DMARC, puede ver si sus esfuerzos están funcionando y dónde puede necesitar ajustar su estrategia.

Hay dos tipos de informes: 

• Aggregate (RUA) está diseñado para ayudarle a rastrear sus fuentes de envío de correo electrónico, las direcciones IP de los remitentes, los dominios de la organización y las geolocalizaciones 
• Forensic (RUF) está diseñado para funcionar como informes de alerta de incidentes cuando se produce un evento forense como la suplantación de identidad
• Configure tanto SPF como DKIM junto con DMARC

Demasiados cocineros no estropean el caldo cuando se trata de la implementación de DMARC. Los expertos en seguridad recomiendan combinar DMARC con SPF y DKIM para mejorar la protección y reducir la posibilidad de falsos positivos. También puede evitar fallos de DMARC no deseados. 

DMARC necesita SPF o DKIM para pasar la autenticación.

Esto desempeña un papel fundamental para ayudarle a aplicar de forma segura una política de rechazo, garantizando que incluso si SPF falla y DKIM pasa o viceversa, MARC pasará para el mensaje previsto.

• Incluya todas sus fuentes de envío

Omitir las fuentes de envío en tu registro SPF puede ser especialmente perjudicial cuando intentas evitar fallos DMARC no deseados. Es importante hacer una lista de todas sus fuentes de envío de correo electrónico (que incluiría proveedores de correo electrónico de terceros y proveedores de servicios como Gmail, Microsoft O365, Yahoo Mail, Zoho, etc.). 

Esto es especialmente importante si sólo utiliza SPF en combinación con DMARC. Cada vez que añada o elimine un origen de envío, su registro SPF debe reflejar los mismos cambios. 

Resumir su vida después de p=reject

La supervisión de sus protocolos de autenticación de correo electrónico es una parte esencial de la vida después de p=reject. No solo garantiza el mantenimiento de la eficacia de sus medidas de seguridad, sino que también le ofrece una visión más profunda de sus funcionalidades para determinar qué es lo que mejor le funciona. A analizador DMARC le ayuda a disfrutar de una transición más suave de p=none a reject, a evitar problemas de entregabilidad, a supervisar sus canales de correo electrónico, a actualizar las políticas de protocolo y a solucionar problemas en una única plataforma, fácilmente.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• PowerDMARC y Securado se alían para ampliar sus operaciones en Oriente Medio - 20 de marzo de 2023
• SPF vs DKIM vs DMARC - 20 de marzo de 2023
• Falsificación de correo electrónico como servicio - 20 de marzo de 2023